Skip to main content
HAProxy · Keepalived · Failover

BEKOM OPEN PROLoad Balancing & HAHAProxy, Keepalived, Failover

Load Balancing und High Availability mit Open Source: HAProxy, Keepalived und Failover-Konzepte für verfügbare, skalierbare Dienste. Betriebsprinzipien und Betriebsmodelle.

Open-Source-Portfolio ansehen
Load Balancing
Hochverfügbarkeit
Failover
Skalierung
Verfügbarkeit als EntscheidungWerkzeuge im ÜberblickBetriebsprinzipien für produktives HAOn-Premise, Cloud, HybridHäufige Fragen
Load Balancing & HA

Verfügbarkeit als Entscheidung

Die Verfügbarkeit zentraler Dienste – Web-Anwendungen, interne Portale, Datenbank-Zugriffe, Messaging-Systeme – ist eine kritische Anforderung jeder strukturierten IT-Landschaft. Load Balancing und High-Availability-Konzepte sind das Fundament, auf dem belastbare Dienste aufgebaut werden. Mit Open-Source-Werkzeugen wie HAProxy und Keepalived lässt sich Hochverfügbarkeit auf Enterprise-Niveau umsetzen, ohne sich an kommerzielle Lizenzmodelle zu binden.

Load Balancing und High Availability sind geschäftskritisch für jeden operativen Betrieb, der auf zentrale Web-Anwendungen, interne Portale oder Datenbank-Zugriffe angewiesen ist. Die Verfügbarkeit dieser Dienste ist direkte Betriebsvoraussetzung für standortübergreifende Geschäftsprozesse und Auftragsverarbeitung. Weiterführend: BEKOM OPEN PRO Security.

Warum Load-Balancing-Strategie strategisch ist

Die Wahl der Load-Balancing-Architektur prägt Verfügbarkeit, Skalierungsfähigkeit und Betriebskomplexität über Jahre. Fehlentscheidungen werden meist erst bei Lastspitzen oder Komponentenausfällen sichtbar – wenn sie am teuersten zu korrigieren sind.

Strategische Dimensionen:

  • Verfügbarkeitsziel: Welche Ausfallzeit ist für welche Dienste akzeptabel, welcher Aufwand ist dafür gerechtfertigt?
  • Skalierungsprofil: Reicht statische Kapazitätsplanung, oder werden Workloads dynamisch skaliert?
  • Wartbarkeit: Wie werden Updates und Konfigurationsänderungen ohne Dienstunterbrechung durchgeführt?
  • Integrationsfähigkeit: Wie gut lassen sich die Werkzeuge in Monitoring-, Automatisierungs- und Container-Plattformen einbinden?

Für Security-Verantwortliche und IT-Leitung bedeutet das: Die Load-Balancing-Entscheidung ist ein Architekturentscheid mit direkten Auswirkungen auf Geschäftskontinuität und Betriebskosten.

Was BEKOM OPEN PRO HA umfasst

BEKOM OPEN PRO Security betrachtet Load Balancing und HA als Teil einer strukturierten Verfügbarkeitsarchitektur. Die Kernaussage: Nicht jede Anwendung braucht dieselbe Verfügbarkeitsstufe, und nicht jede Organisation braucht eine vollständige Enterprise-Appliance-Landschaft.

Inhaltlicher Scope:

  • Technologische Einordnung etablierter Werkzeuge (HAProxy, Keepalived, NGINX, Envoy)
  • Konzepte der Lastverteilung (Layer 4 vs. Layer 7, Session-Management, SSL-Terminierung)
  • Betriebsprinzipien für HA-Cluster (Failover, Split-Brain-Vermeidung, Wartungsstrategien)
  • Integration mit Monitoring, Automatisierung und Container-Plattformen

BEKOM unterstützt Organisationen bei der Auswahl der passenden Verfügbarkeitsstrategie – abgestimmt auf Anwendungsprofile, Geschäftsanforderungen und vorhandene Betriebskompetenz.

Werkzeuge

Werkzeuge im Überblick

Die Open-Source-Load-Balancing-Landschaft besteht aus mehreren Werkzeugen mit unterschiedlichen Schwerpunkten. Die Unterscheidung zwischen Layer-4-Load-Balancern, Layer-7-Proxies und Cluster-Management-Werkzeugen hilft bei der bewussten Auswahl.

HAProxy als etablierter Standard

HAProxy ist seit Jahren der Referenz-Load-Balancer im Open-Source-Bereich. Es deckt sowohl Layer-4- als auch Layer-7-Lastverteilung ab und wird in Umgebungen von mittelständischen Installationen bis zu den größten Internet-Plattformen eingesetzt.

Charakteristika von HAProxy:

Layer-4- und Layer-7-Load-Balancing in einer Codebasis: TCP, HTTP, TLS-Passthrough, HTTP/2

Umfangreiches Health-Check-System: aktive und passive Prüfungen, eigene Protokoll-Checks

SSL-Terminierung mit moderner Kryptographie, TLS-Offload für Backend-Systeme

Stats-Interface und detailliertes Logging für Monitoring und Troubleshooting

HAProxy ist die richtige Wahl für die meisten Load-Balancing-Szenarien. Die Kombination aus Performance, Stabilität und Konfigurations-Klarheit macht es zur pragmatischen Basis für Hochverfügbarkeits-Setups.

Keepalived und VRRP für Failover

Keepalived implementiert das VRRP-Protokoll und ermöglicht damit den Failover einer virtuellen IP-Adresse zwischen zwei oder mehr Servern. In Kombination mit HAProxy entsteht ein Active-Passive-Setup mit automatischer Umschaltung im Fehlerfall.

Einsatzprofil:

Failover einer virtuellen IP zwischen HAProxy-Instanzen: die Kunden-IP bleibt verfügbar, auch wenn der primäre Server ausfällt

Health-Check-Integration: Failover erfolgt nicht nur bei Ausfall des Hosts, sondern auch bei Ausfall der Dienste

Einfache Konfiguration mit klarer Semantik: Master-Backup-Rollen, Priorisierung, Fehlerreaktion

Einsatz in klassischen Zwei-Knoten-Setups sowie in komplexeren Multi-Knoten-Clustern

Keepalived ist der Standard-Baustein, um ein einzelnes HAProxy in ein hochverfügbares Cluster zu verwandeln. Die Kombination deckt die meisten HA-Anforderungen von Mittelständlern und größeren Organisationen ab.

NGINX und Envoy als Alternativen

NGINX und Envoy sind weitere populäre Werkzeuge im Load-Balancing-Umfeld. Sie haben unterschiedliche Schwerpunkte und ergänzen HAProxy für spezifische Szenarien.

Wichtige Merkmale:

NGINX: kombinierter Webserver und Reverse-Proxy, sehr stark bei statischen Inhalten und PHP-Anwendungen

Envoy: dynamisches Konfigurationsmodell, Service-Mesh-Integration (Istio), Cloud-native Architektur

Kombinierter Einsatz: HAProxy am Perimeter, NGINX für Anwendungs-Reverse-Proxy, Envoy im Service-Mesh

Einsatzwahl abhängig von Umgebung: klassisch (HAProxy), webserver-orientiert (NGINX), Cloud-native (Envoy)

Die Werkzeugauswahl ist selten binär. Viele Organisationen kombinieren HAProxy, NGINX und Envoy je nach Ebene und Aufgabe. Das Verständnis der Stärken pro Werkzeug ermöglicht eine bewusste Komposition statt pauschaler Standardisierung.

Werkzeuge

Betriebsprinzipien für produktives HA

Load-Balancing- und HA-Infrastruktur im produktiven Einsatz unterscheidet sich grundlegend von einfachen Single-Node-Setups. Drei Bereiche sind entscheidend: Cluster-Architektur, Wartungs- und Change-Strategien sowie Monitoring und Fehlerreaktion.

Cluster-Architektur und Split-Brain-Vermeidung

Ein hochverfügbares Load-Balancing-Cluster braucht eine Architektur, die einzelne Knotenausfälle ohne Servicebeeinträchtigung verkraftet – und gleichzeitig Situationen vermeidet, in denen beide Knoten fälschlicherweise aktiv werden.

Architektur-Prinzipien:

Mindestens zwei Knoten pro Cluster in unterschiedlichen Fehlerdomänen (Rack, Stromkreis, Standort)

VRRP mit klarer Priorisierung: welcher Knoten ist Master, welche Prioritäten gelten im Fehlerfall

Zusätzliche Health-Check-Pfade: nicht nur Netzwerk-Ping, sondern Dienst-Verfügbarkeit, Backend-Reachability

Split-Brain-Schutz durch gegenseitige Fencing-Mechanismen oder Quorum-basierte Entscheidungsfindung

Die Architektur wird dokumentiert, bevor das Cluster aufgebaut wird. Nachträgliche Korrektur ist deutlich aufwändiger als sorgfältige Planung zu Beginn.

Wartung und Change-Management

HA-Cluster ermöglichen Wartung ohne Dienstunterbrechung – wenn der Change-Prozess darauf ausgelegt ist. Ohne klare Prozesse verpufft der Verfügbarkeitsvorteil.

Kernprinzipien:

Rolling-Update-Strategie: Ein Knoten wird deaktiviert, aktualisiert, getestet und wieder aktiviert, erst dann folgt der nächste

Pre-Change-Checks: Health-Checks, Backup der aktuellen Konfiguration, dokumentierter Rollback-Plan

Post-Change-Validierung: Funktionsprüfung der Dienste, Monitoring der Performance, explizite Freigabe

Versionierte Konfiguration: jede Änderung wird im Versionskontroll-System erfasst, inklusive Begründung

Die Change-Disziplin schützt vor schleichender Verschlechterung und stellt sicher, dass die HA-Funktion auch nach Jahren Betrieb zuverlässig funktioniert. Regelmäßige Failover-Tests sind Teil des Betriebskonzepts.

Monitoring und Fehlerreaktion

HA-Cluster ohne Monitoring sind blind – sie schalten automatisch um, ohne dass der Betrieb es bemerkt. Ein lautlos degradiertes Cluster verliert seine Redundanz.

Umsetzung:

Health-Metriken pro Knoten: CPU, Memory, Netzwerk, Verbindungsraten, Fehlerraten

Cluster-Status als eigene Metrik: welcher Knoten ist Master, wie lange, wie oft gab es Umschaltungen

Alarmierung bei Anomalien: ungeplanter Failover, degradierter Zustand, Health-Check-Fehler

Integration mit zentraler Monitoring-Plattform und Incident-Response-Prozess

Die Monitoring-Architektur wird gemeinsam mit der HA-Architektur geplant, damit sie vollständige Sichtbarkeit liefert und keine blinden Flecken entstehen.

Load Balancing & HA

Betriebsmodelle: On-Premise, Cloud, Hybrid

Load-Balancing- und HA-Infrastruktur funktioniert in allen drei Betriebsmodellen. Die Wahl hängt von Anwendungsprofil, Skalierungsanforderungen und vorhandener Infrastruktur ab.

On-Premise

Load-Balancer und HA-Cluster im eigenen Rechenzentrum, integriert in die lokale Netzwerkarchitektur. Konfiguration und Betriebsverantwortung bleiben vollständig intern oder bei einem klar definierten Partner.

Vorteile:

  • Volle Kontrolle über Hardware, Netzwerk-Integration und Konfigurationsstandards
  • Datenschutzkonforme Verarbeitung von SSL-Terminierung ohne externe Abhängigkeit
  • Direkte Integration mit lokalen Netzwerk-Komponenten (Switches, Router, Core-Netz)
  • Keine Abhängigkeit von Internet-Verfügbarkeit für interne Dienste

Ideal für diese Szenarien:

  • Bestehende Rechenzentrums-Infrastruktur mit klarer Netzwerk-Topologie
  • Regulierte Branchen mit Anforderungen an physischen Zugriff und SSL-Handling
  • Hohe Traffic-Volumina mit niedrigen Latenz-Anforderungen

On-Premise-Load-Balancer sind der klassische Einsatzpunkt – besonders für interne Anwendungen, Datenbank-Frontends und Portale mit hohem internen Zugriff.

Cloud

Load-Balancer in Cloud-Umgebungen, entweder als virtuelle HAProxy-Instanzen oder als Managed-Load-Balancer-Dienste ergänzt um Open-Source-Komponenten.

Vorteile:

  • Skalierbarkeit mit dem Cloud-Workload ohne Hardware-Investitionen
  • Integration mit Cloud-nativen HA-Mechanismen (Multi-AZ-Deployment, Auto-Scaling)
  • Automatisierbare Bereitstellung per Infrastructure-as-Code für reproduzierbare Umgebungen
  • Flexible Standortwahl (Deutschland, EU) für Compliance-konforme Terminierung

Ideal für diese Szenarien:

  • Cloud-native Workloads mit eigenen Netzwerk-Segmenten
  • Entwicklungs- und Test-Umgebungen mit elastischen Ressourcen
  • Stark schwankende Lastmuster, die statische Kapazität unwirtschaftlich machen

Cloud-Load-Balancer reduzieren den Hardware-Betrieb und ermöglichen wiederholbare HA-Muster. Die Wahl eines souveränen Cloud-Partners ist entscheidend, damit SSL-Keys und Traffic-Logs den gewünschten Standort nicht verlassen.

Hybrid

Kombination aus On-Premise- und Cloud-Load-Balancern mit zentraler Konfigurationsverwaltung. Dienste liegen je nach Anforderung in der passenden Umgebung, die Lastverteilung erfolgt konsistent.

Vorteile:

  • Bestehende On-Premise-Load-Balancer weiter nutzen, Cloud-Ergänzungen separat skalieren
  • Einheitliche Konfigurationsstandards über beide Welten durch zentrales Management
  • Disaster-Recovery-Fähigkeit: Traffic-Umschaltung zwischen Welten bei Ausfall einer Seite
  • Schrittweise Cloud-Adoption ohne Aufgabe bestehender HA-Investitionen

Ideal für diese Szenarien:

  • Etablierte On-Premise-Landschaften mit wachsenden Cloud-Anteilen
  • Mehrstandort-Organisationen mit differenzierten Verfügbarkeitsanforderungen
  • Multi-Cloud-Strategien mit Workload-Verteilung nach Kostenprofil oder Regulatorik

Hybrid-HA-Architekturen erfordern sorgfältige Abstimmung der Gesundheits-Checks auf beiden Seiten. Zentrales DNS-Management und automatisierte Konfigurationspflege sind die Grundvoraussetzung.

Kostentreiber von Load Balancing & High Availability im Eigenbetrieb

Die Betriebskosten einer Load-Balancing-Infrastruktur werden oft unterschätzt. Hauptkostentreiber sind die kontinuierliche Überwachung von HAProxy-Konfigurationen bei Service-Änderungen, das Management von SSL-Zertifikaten über mehrere Load-Balancer-Instanzen hinweg und die Expertise für Keepalived-Failover-Szenarien. Besonders aufwendig sind Wartungsfenster für Updates, da diese koordiniert über alle aktiven und standby-Systeme erfolgen müssen. Das Assessment der bestehenden Anwendungslandschaft auf Load-Balancing-Tauglichkeit erfordert spezialisiertes Know-how. Mit der BEKOM-Monatspauschale für Load Balancing & HA werden diese variablen Aufwände zu planbaren Betriebskosten. Die Kostenstruktur umfasst die vollständige Konfiguration, das Monitoring der Failover-Mechanismen und die Integration in bestehende Monitoring-Systeme.

Verwandte Themen: Load Balancing & HA verzahnt sich mit Netzwerksicherheit & Firewall und Vernetzung & VPN; den korrespondierenden Managed-Service deckt Managed Network ab; als konkrete Produkt-Option steht OPNsense zur Verfügung.

Häufige Fragen zu Load Balancing und HA

Brauche ich HAProxy auch bei Kubernetes?

Kubernetes bringt eigene Load-Balancing-Mechanismen mit (Services, Ingress-Controller). Für Traffic von außerhalb des Clusters braucht es jedoch meist einen externen Load-Balancer als Eintrittspunkt. HAProxy ist hier eine pragmatische Wahl, besonders On-Premise, wo keine Cloud-nativen Load-Balancer verfügbar sind. Innerhalb des Clusters übernehmen Kubernetes-Bordmittel oder spezialisierte Ingress-Controller wie HAProxy Ingress, NGINX Ingress oder Istio die weitere Verteilung. Die Rollen sind klar getrennt und ergänzen sich.

Wann nutze ich Layer 4 und wann Layer 7 Load Balancing?

Layer 4 (TCP/UDP) eignet sich für Protokolle ohne Anwendungslogik-Anforderungen: Datenbanken, Mailserver, generische TCP-Dienste. Layer 7 (HTTP/HTTPS) kommt zum Einsatz, wenn Anwendungslogik im Load-Balancer benötigt wird: URL-basierte Verteilung, Header-Manipulation, SSL-Terminierung, HTTP/2-Multiplexing. Viele Organisationen kombinieren beide: Layer 4 am Perimeter für generische Verteilung, Layer 7 für Web-Anwendungen. Die Wahl folgt dem Anwendungsprofil, nicht einer pauschalen Regel.

Wie erreiche ich echte Hochverfügbarkeit ohne Split-Brain-Risiko?

Echte HA erfordert mehr als zwei Knoten mit VRRP. Split-Brain wird durch mehrere Maßnahmen verhindert: gegenseitiges Fencing (einer der beiden Knoten wird zwangsweise deaktiviert), Quorum-basierte Entscheidungen mit drittem Arbiter-Knoten, Health-Checks über mehrere Pfade (Netzwerk, Speicher, Anwendung). Für kritische Dienste ist ein Drei-Knoten-Cluster mit Quorum die sicherere Architektur als ein Zwei-Knoten-Setup mit VRRP allein. Die Architektur wird an die Kritikalität der Dienste angepasst.

Wie gehe ich mit SSL-Terminierung um?

SSL-Terminierung am Load-Balancer hat Vorteile (zentrale Zertifikatsverwaltung, Entlastung der Backend-Systeme, einheitliche TLS-Standards), aber auch Implikationen: der Traffic zwischen Load-Balancer und Backend ist unverschlüsselt, sensible Daten liegen temporär entschlüsselt im Load-Balancer vor. Für regulierte Branchen wird oft TLS-Passthrough bevorzugt, bei dem die Entschlüsselung am Backend erfolgt. Die Entscheidung wird im Security-Architektur-Dokument festgehalten und mit Compliance abgestimmt.

Wie teste ich, ob der Failover tatsächlich funktioniert?

Regelmäßige Failover-Tests sind Pflicht, nicht Kür. Getestet wird in definierten Wartungsfenstern durch bewusstes Abschalten des aktiven Knotens und Beobachtung der Umschaltung: erfolgt sie automatisch, wie lange dauert sie, gehen Verbindungen verloren, welche Alarme werden ausgelöst. Die Tests werden dokumentiert und Abweichungen werden behoben, bevor sie zum Ernstfall werden. Ein nie getesteter Failover ist im Grunde kein Failover, sondern eine Hoffnung.

Wie verwalte ich Konfigurationen bei mehreren Load-Balancern?

Zentrale Konfigurationsverwaltung ist bei mehreren Instanzen Pflicht. Die Konfigurationen werden im Versionskontroll-System verwaltet und per Automatisierung (Ansible, OpenTofu) auf die Instanzen verteilt. Jede Änderung durchläuft einen Review-Prozess, der Rollout erfolgt in definierten Stufen mit Zwischenprüfung. Werkzeuge wie Data Plane API bei HAProxy ermöglichen zusätzlich API-basierte Laufzeit-Änderungen ohne Neustart, was bei dynamischen Umgebungen zusätzliche Flexibilität gibt.

Welche Kosten entstehen beim Betrieb eines HA-Load-Balancer-Clusters?

Die Kostenstruktur umfasst Hardware oder Cloud-Ressourcen (zwei oder mehr Knoten), optional kommerziellen Support des Distributions-Anbieters und operative Aufwände für Konfigurationspflege, Monitoring und Wartung. Open-Source-Load-Balancer selbst haben keine Lizenzkosten; Unterstützungsverträge sind optional. Die konkrete Kostenstruktur entsteht im Strategiegespräch auf Basis der gewählten Plattform, des Deployment-Modells und der Anforderungen an Verfügbarkeit und Support-Level.

Wie unterscheidet sich BEKOM OPEN PRO HA von BEKOM MANAGED?

BEKOM OPEN PRO Load Balancing & HA adressiert die technologische und architektonische Seite: Welche Werkzeuge, welche Cluster-Architektur, welche Betriebsprinzipien? BEKOM MANAGED Infrastructure und BEKOM MANAGED Security (Silo 9/12) übernehmen den operativen Betrieb – Konfigurationsänderungen, Monitoring, Incident-Response, Kapazitätsmanagement. Die Angebote ergänzen sich: Viele Kunden nutzen OPEN PRO für die Architektur-Definition und MANAGED für den laufenden Betrieb der implementierten Umgebung, mit klarem SLA-Rahmen für Verfügbarkeit und Reaktionszeiten.

Nächster Schritt: HA-Evaluierung

Der Einstieg beginnt mit einem strukturierten Strategiegespräch: Bestandsaufnahme der aktuellen Verfügbarkeitsarchitektur, Bewertung der Anwendungsprofile und Erstellung einer belastbaren HA-Strategie.

1

Strategiegespräch anfragen

Kontaktieren Sie BEKOM für ein unverbindliches Security-Strategiegespräch mit Verfügbarkeits-Fokus. Gemeinsam mit Ihrem Team bewertet BEKOM die aktuellen Anwendungs- und Verfügbarkeitsanforderungen und identifiziert passende HA-Architektur-Optionen – abgestimmt auf Kritikalität und Budget.

2

Architektur-Bewertung durchführen

Auf Basis des Strategiegesprächs vertieft BEKOM die Architektur-Bewertung: Passt HAProxy, eine Kombination mit Keepalived oder ein anderer Ansatz zur bestehenden Landschaft? Welche Cluster-Topologie ist sinnvoll, welche Integration mit Monitoring und Automatisierung? Das Ergebnis ist eine dokumentierte Empfehlung.

3

Pilotphase und Rollout begleiten

Vor der Umstellung produktiver Dienste starten Pilotphasen mit ausgewählten Anwendungen. Die Pilotphase validiert die geplante Architektur unter realen Bedingungen und liefert die Erfahrungsbasis für Failover-Tests und den späteren Rollout – ohne Stichtagsrisiko für kritische Dienste.